Neue Herausforderungen für die digitale Produktwelt

Der Cyber Resilience Act adressiert Schwachstellen in der IT-Infrastruktur, die selbst durch umfassende Cyber-Sicherheitsmaßnahmen nicht vollständig abgesichert werden können. Die Verordnung betrifft Produkte mit digitalen Elementen, einschließlich netzwerkfähiger Hardware und Software, Cloud-basierter Lösungen, die als essenzielle Fernverarbeitungslösungen gelten, sowie freie und Open-Source-Software, wenn diese in kommerziellen Produkten genutzt wird. 

Herr Wratschko, welche konkreten Änderungen bringt der Cyber Resilience Act für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen?

Walter Wratschko: Der Cyber Resilience Act (CRA) bringt umfassende Änderungen mit sich. Hersteller sind verpflichtet, sicherzustellen, dass ihre Produkte während ihres gesamten Lebenszyklus den Anforderungen des CRA entsprechen. Dies betrifft die Planung, Entwicklung, Wartung und die Bereitstellung von Sicherheitsupdates. Auch Importeure und Händler tragen Verantwortung: Sie müssen gewährleisten, dass die Produkte, die sie in der EU verkaufen, alle Vorgaben des CRA erfüllen. Dazu gehört auch, dass importierte Produkte eine EU-Konformitätserklärung sowie eine CE-Kennzeichnung erhalten.

Welche Herausforderungen erwarten Unternehmen bei der Umsetzung der Sicherheitsanforderungen?

Die Anforderungen des CRA sind umfangreich und betreffen alle Produkte mit digitalen Elementen. Unternehmen müssen sicherstellen, dass ihre Produkte ohne bekannte Sicherheitslücken auf den Markt kommen, mit sicheren Standardkonfigurationen ausgeliefert werden und Sicherheitsupdates zur Verfügung stehen. Produkte sollten durch Authentifizierungssysteme geschützt sein, die unberechtigten Zugriff verhindern und im Falle eines Sicherheitsvorfalls Alarm schlagen. Zudem müssen Maßnahmen wie Verschlüsselung, Datenminimierung und die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten implementiert werden.

Darüber hinaus müssen die Produkte so gestaltet sein, dass sie eine möglichst geringe Angriffsfläche bieten, die Auswirkungen von Sicherheitsvorfällen reduzieren und sicherheitsrelevante Informationen aufzeichnen können. Hersteller sind zudem verpflichtet, Schwachstellen zu identifizieren und zu dokumentieren, Sicherheitsupdates bereitzustellen und regelmäßige Tests sowie Überprüfungen der Produktsicherheit durchzuführen. Ein Konzept für die koordinierte Offenlegung von Schwachstellen sowie Mechanismen für die sichere Verbreitung von Updates sind ebenfalls essenziell.

Wie können Unternehmen der Fachgruppe UBIT ihre Kunden effektiv auf die neuen Anforderungen des Cyber Resilience Acts vorbereiten?

Leider gibt es derzeit noch keine offiziell harmonisierten Normen, die eine einfache Konformitätsbewertung der Produkte ermöglichen. Trotzdem können IT-Dienstleister und Hersteller in Kärnten bereits jetzt aktiv werden, indem sie die zukünftigen Anforderungen des CRA bei der Auswahl ihrer Hard- und Software berücksichtigen. Lieferanten, die diese Standards nicht einhalten, sollten weder genutzt noch an Kunden weiterverkauft werden. Obwohl die Verordnung erst am 11. Dezember 2027 in Kraft tritt, ist es sinnvoll, sich frühzeitig auf die neuen Vorgaben vorzubereiten.

Was wäre für Mitglieder der Fachgruppe UBIT aus deiner Sicht noch wichtig zu wissen?

Ein besonderer Hinweis gilt dem 6. Datenschutz-Symposium des Vereins der Kärntner Datenschutz-Expert:innen, das am 16. Mai 2025 im Schlosshotel Velden stattfinden wird. Die Veranstaltung legt den Fokus auf die Herausforderungen, mit denen technisch Verantwortliche in Unternehmen konfrontiert sind. Detailinformationen sowie Anmeldemöglichkeiten werden in Kürze auf der Webseite www.datenschutzexpertinnen.at verfügbar sein.